わさっきhb

大学(教育研究)とか ,親馬鹿とか,和歌山とか,とか,とか.

虹彩・網膜・学生番号は,個人識別符号ではない?

 いきなりですが問題です.

 個人情報の保護に関する法律の第2条で,「個人識別符号」が定義されています.
 関連情報によると,DNA・指紋・静脈パターン・顔・虹彩・網膜などの生体情報をデジタルデータに変換したものや,運転免許証・パスポート・保険証の番号,職員番号・学生(学籍)番号,住民票コードやマイナンバーなどが該当します.
 …というのは間違いです,列挙した中で,個人識別符号に該当しないものを答えましょう.

 さっそくですが関連情報です.

 個人情報保護法第2条の「個人識別符号」の定義は,「次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。」となっていますが,政令と合わせて,箱囲みになっています.箱囲みのすぐ下には,生体情報に関して「個人識別符号に該当することとなるもの」を具体的に挙げています.虹彩は「ハ 虹彩の表面の起伏により形成される線状の模様」ですし,パスポートは「旅券法(昭和26年法律第267号)第6条第1項第1号の旅券の番号」です.
 注意深く読むと,関連情報には「網膜」「職員番号・学生(学籍)番号」が出現しないのがわかります.即座にこれらを,答え(個人識別符号に該当しないもの)としてもよいのですが,他の情報を見ておきましょう.
 「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集結果のPDFファイルで,「網膜」を検索すると,番号110に見つかりました.意見は「生態認証に網膜スキャンが不足している。」で,理由も書かれています.回答(御意見等に対する考え方)は「御指摘の「網膜スキャン」については、日本の事業者において広く利用されている実態がないこと等から、上記の考え方に該当せず、本施行令案及び本規則案において個人識別符号として定める必要はないと考えます。」とあります.
 ということで,「網膜」は,個人識別符号に該当しないものとしてよさそうです.
 なお,個人識別符号に関する海外・国内動向の調査研究報告書という文書では,米国のうちイリノイ・テキサス・ワシントンの各州で,網膜を生体情報保護の対象としている*1のが読み取れます.
 次は「職員番号・学生(学籍)番号」の検証です.「学籍番号は個人識別符号」と明記されている,学会発表があります.

 なのですが,「筆者が所属する国立大学法人島根大学では,個人情報取扱規則の運用等について個人識別符号(略)と明記しているゆえに,学籍番号は個人識別符号であり,学生記番号と名前などを紐つくことで個人情報となり得るために,最大限の配慮を行った.」となっています.個人識別符号である根拠は,個人情報保護法*2ではなく,大学で取り決めた,「個人情報取扱規則の運用等」なのでした.
 もう一つ,情報処理学会の学会誌の記事を見ます.

 このうちp.502右カラムで,個人識別符号の特徴が,一つの段落になっています.

 個人識別符号と従来型個人情報の違いは,その識別力にある.誕生日や性別などは,同一の個人が複数いるので,組み合わせないと個人を識別しないのに対して,旅券情報や生体情報などは単体で個人を特定する.もちろん,生体認証の種類によっては認識精度が低いものものあるが,今後の技術の進化に応じて個人識別符号の範疇が拡大することも考えられる(迅速に対応するため,個人識別符号の指定は法改正を必要とせず,政令(施行令)レベルでできるようになっている).

 これを「職員番号・学生(学籍)番号」に適用すると,次のように解釈できます.職場や学校ごとに見ると,その職員番号や学生(学籍)番号から,単体で個人を特定できます.ですが職場や学校の外で考えると,(誕生日などと同じように)同一の個人が複数あり得るので,組み合わせないと個人を識別できません.なのでこれらは,個人情報保護法で定義された個人識別符号に当たらない,というわけです.
 本日の問題は,セキュリティの第14回授業で出題しました.授業日の0時から受講生がアクセス可能な資料(PowerPointファイルをPDFファイルにしたもの)には,個人識別符号とは - コトバンクを改変して「DNA・指紋・静脈パターン・顔・虹彩・網膜などの生体情報をデジタルデータに変換したものや,運転免許証・パスポート・保険証の番号,職員番号・学生(学籍)番号,住民票コードやマイナンバーなどが該当する.」と書いておき,答案を回収して,解説をTeamsに掲載してから,「・網膜」と「,職員番号・学生(学籍)番号」を薄い色にして二重取り消し線を施し,PDFファイルを更新しました.

*1:米国でどのくらい,網膜がバイオメトリクス認証に使われているかは不明ですが,この文書では,2017年施行の個人情報保護法をもとに,海外の状況を調査・報告していることもあり,網膜への言及は少なめとなっているように見えます.

*2:国立大学法人独立行政法人,ということでhttps://elaws.e-gov.go.jp/document?lawid=415AC0000000059を見ておくと,個人識別符号の定義は第2条第3項(第1項に「独立行政法人等」)で,個人情報保護法第2条第2項と同一でした.